Vulnerabilidade em plugin do Elementor afeta mais de um milhão de sites WordPress

Um dos plugins mais populares para o Elementor no WordPress é, sem dúvida, o “Essential Addons for Elementor“. Este fornece alguns extras para os utilizadores, que facilitam consideravelmente a tarefa de editar os conteúdos do site, e encontra-se instalado em mais de um milhão de sites.

No entanto, se usa este plugin, está também na altura de atualizar o mais rapidamente possível. Isto porque foi descoberta uma nova falha de segurança que, se explorada, pode permitir aos atacantes obterem acesso administrativo ao site.

A falha foi descoberta pela empresa PatchStack a 8 de Maio de 2023, sendo que afeta as versões 5.4.0 até à 5.7.1 do plugin. Esta encontra-se sobre o sistema de reset das senhas de utilizadores, e se explorada, os atacantes podem conseguir obter acesso administrativo aos sites, tendo potencialmente capacidade de realizar qualquer tarefa que pretendam nos mesmos.

A falha permite que os atacantes possam realizar a recuperação de senha de praticamente qualquer utilizador do WordPress, desde que saibam o nome de utilizador do mesmo.

Para que o ataque tenha sucesso, no entanto, os atacantes necessitam de saber o nome de utilizador dos administradores do site – que nem todos alteram do padrão “admin”, embora seja uma prática regular de segurança.

A correção para a falha foi lançada com a versão 5.7.2, sendo que os utilizadores que tenham este plugin são aconselhados a realizarem a atualização o mais rapidamente possível, para evitarem a exploração da mesma para ataques.